In mei 2018 moeten bedrijven en overheden volledig voldoen aan de Algemene Verordening Gegevensbescherming (AVG), zeg maar de nieuwe Europese privacywet. De bedoeling van de AVG is om misbruik van onze persoonsgegevens door bedrijven en overheden te voorkomen.
De boetes zijn hoog - maximaal € 20 mln, of 4% van de jaarlijkse wereldwijde omzet, welke van de twee bedragen maar hoger is - dus iedereen is er druk mee bezig. Maar ik maak me ernstig zorgen. Ik vrees dat er uiteindelijk niets zal veranderen, en dat bedrijven en overheden door zullen gaan met het met voeten treden van onze privacy. Al gebeurt dat vanaf mei 2018 dan wel volgens een goed gedocumenteerd en met allerlei waarborgen omkleed proces.
Laatst hoorde ik een privacy-consultant stellen dat de AVG in essentie neerkomt op ‘administratieve klantgerichtheid’. Als dat zo is, dan verwordt de AVG tot de ISO 9001 standaard voor kwaliteitsmanagement: je hebt een certificaat waarmee je bewijst dat je de grootst mogelijke bagger fabriceert, maar wel volgens een netjes beschreven proces dat je nauwgezet volgt.
De AVG zou meer moeten zijn dan een manier om klantgericht (‘excellent’) onze privacy te schenden…
Volgens de AVG mogen persoonsgegevens alleen verwerkt worden voor een gerechtvaardigd doel. Het belang dat jij bij de verwerking hebt - als bedrijf of instelling - moet gerechtvaardigd zijn. Bovendien moet de verwerking (dus welke persoonsgegevens je verzamelt en wat je daar vervolgens mee doet) proportioneel en subsidiair zijn. Proportioneel betekent dat de mate van inbreuk die je pleegt op de persoonlijke levenssfeer in overeenstemming moet zijn met het belang dat hier mee gemoeid is. Subsidiair betekent dat je doel niet kunt bereiken met een minder ingrijpende inbreuk. Het moet dus ‘ter zake dienend en beperkt tot wat noodzakelijk’ zijn.
Het probleem is dat slechts summier beschreven wordt wat ‘gerechtvaardigd, proportioneel of subsidiair’ is. En bedrijven vinden al gauw dat hún doel volledig gerechtvaardigd is. En dat het verzamelen van nóg meer gegevens per definitie proportioneel is, omdat hun systemen dan nog efficiënter werken. En dat het subsidiair is omdat op een andere manier werken simpelweg duurder is. Bedrijven redeneren nu eenmaal van nature vanuit hun eigen belang, terwijl privacy nu juist gaat om óns belang: het belang van de burgers, de klanten, de individuen.
Om die manier van denken te doorbreken zal er straks gehandhaafd moeten worden. En niet alleen op de overduidelijke overtreders, de grote vissen zoals Facebook of Google. Maar ook op de kleinere partijen die hun eigenbelang te veel op de voorgrond stellen, en zo de markt verpesten voor partijen die de AVG niet alleen naar de letter, maar ook naar de geest uitvoeren. Handhaving, en de daarop onvermijdelijk volgende rechtszaken, zullen de kaders moeten stellen. En ook de politiek zal een uitspraak moeten doen over wat wel en niet legitiem is. En wat wel en niet proportioneel is.
Want als er geen duidelijke en strikte kaders worden gesteld aan doelbinding, en wanneer een belang legitiem is, is de hele AVG een wassen neus. Dan leiden de gigantische investeringen die bedrijven op dit moment doen om te voldoen aan de verordening niet tot wezenlijk verandering. Dan is het puur een papieren exercitie geweest, waar allerlei privacy-consultants mooi aan verdiend hebben. En worden uiteindelijk onze persoonlijke gegevens nog steeds misbruikt, zodat er van onze privacy maar weinig zal overblijven.
Deze column verscheen op 18 november 2017 in het Morgen katern van het FD, onder de titel "Klantgericht onze data stelen"